据悉,Ultrain技术团队核心成员近期在阅读EOSchainbase开源代码时,发现其底层实现存在可导致EOS全网宕机隐患的致命安全漏洞,并立即将问题详细描述及修复办法提交至EOS团队。近日,EOS团队已正式将修复提交EOS代码主分支,并对于Ultrain@raymondnuaa表示多次致谢!
公链EOS采用chainbase内存数据库存储世界状态,包括链上所有账号详情、部署的所有智能合约以及所有历史交易形成的状态修改等内容。chainbase的安全性与稳定性是保证公链EOS稳定运行的重中之重。
Multicoin Capital管理总资产的10%仍在FTX上等待提款:金色财经报道,加密风投公司Multicoin Capital管理合伙人Kyle Samani和Tushar Jain周二向该基金LP发出的信中表示,该基金管理的总资产 (AUM) 中约有10%仍在FTX上等待提款。不幸的是,我们无法在FTX上撤回该基金的所有资产,包括 BTC、ETH 和 USD 在内的资产正在等待提款,约占基金资产的15.6%,约占基金总资产的9.7%。
此外,在Binance宣布收购FTX后Multicoin立即采取行动,以17.79美元的平均价格出售了全部FTT头寸。[2022/11/9 7:23:12]
EOS该安全漏洞由chainbase对数据库回滚操作的错误处理顺序引发。chainbase内存数据库底层有removed、created、modified三个stack来存储区块内交易对数据库对象所进行的删除、创建、修改操作,如果该区块未能成功添加到区块链主链,则需要对该区块内所有交易对内存数据库做的所有修改进行回滚。EOS对三个stack的原有回滚处理顺序为:modified,created,removed,在该处理顺序下,如果将数据库某个已有对象A的键值修改,并创建一个新的对象B采用前述对象A的原有键值,那么在进行回滚时,会先尝试将对象A修改过的数值恢复,此时会产生键值冲突,导致底层库进入死循环状态。一旦进入该状态,EOS节点则无法正常继续生产区块。若恶意攻击者构造触发该状态的交易广播至全网执行,则EOS全网存在宕机隐患。
动态 | 钱包制造商Ledger旗下Ledger Vault技术平台获得价值1.5亿美元保单:据Coindesk消息,保险经纪巨头达信(Marsh)与英国劳埃德银行(Lloyd's of London)硬件钱包制造商Ledger公司旗下的Ledger Vault技术平台的用户安排了一份价值1.5亿美元的保单。此举表明保险业正逐渐适应为数字资产承保——这被广泛认为是机构投资的先决条件。达信与劳埃德银行表示,除了新保单外,Ledger Vault客户还将在Marsh和Arch的帮助下,为自己安排专门的初级保险提供便利和“快速通道”。[2019/11/14]
发现问题后,EOS开发团队按@raymondnuaa建议将stack处理顺序修改为created,modified,removed,可正常处理前述场景。此外,@raymondnuaa在问题描述中还详细描述了另一个更加复杂的两个对象键值交换的场景,并指出仅靠调整三个stack的处理顺序无法解决问题。EOS在此次修改中也增加了大量注释,明确了chainbase内对象的使用需求限制,指出chainbase的特定字段不能在modifier中进行修改,并对deferred_transaction的modify处理做了相应修改。
爱尔兰 Embedded Downloads公司推出首款区块链智能手机BitVault:爱尔兰 Embedded Downloads公司推出首款区块链智能手机BitVault,该公司已和D'Vast Innovations Private Limited建立战略市场联盟,计划进军印度市场。目前,他们已经开始向印度国防部,印度公共安全部和其他研发机构推广BitVault区块链智能手机。这款手机要求用户在发送消息之前扫描指纹,NFC和虹膜,只有通过身份验证,就会通过安全的私有区块链传输消息、视频和照片,一旦消息被读取或下载,它将永远从区块链服务器中删除。[2017/12/18]
公链是促进区块链行业繁荣发展的一个重要角色,相信有如Ultrain这样致力于提升基础设施安全的公链存在,整个行业将会更加健康有序发展。
详情链接:
https://github.com/EOSIO/eos/pull/7266
https://github.com/EOSIO/chainbase/pull/44
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。